警惕!“银狐”木马病毒再次出现新变种并更新传播手法
中新网12月20日电 据国家计算机病毒应急处理中心网站消息,国家计算机病毒应急处理中心发布《关于针对我国用户的“银狐”木马病毒再次出现新变种并更新传播手法的预警报告》。
一、相关病毒传播案例
近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台(https://virus.cverc.org.cn)在我国境内再次捕获发现针对我国用户的“银狐”木马病毒的最新变种。在本次传播过程中,攻击者继续通过构造财务、税务违规稽查通知等主题的钓鱼信息和收藏链接,通过微信群直接传播包含该木马病毒的加密压缩包文件,如图1所示。
图1中名为“笔记”等字样的收藏链接指向文件名为“违规-记录(1).rar”等压缩包文件,用户按照钓鱼信息给出的解压密码解压压缩包文件后,会看到以“开票-目录.exe”、“违规-告示.exe”等命名的可执行程序文件,这些可执行程序实际为“银狐”远控木马家族于12月更新传播的最新变种程序。如果用户运行相关恶意程序文件,将被攻击者实施远程控制、窃密等恶意操作,并可能被犯罪分子利用充当进一步实施电信网络诈骗活动的“跳板”。
二、病毒感染特征
1. 钓鱼信息特征
本次发现攻击者使用的钓鱼信息仍然以伪造官方通知为主。结合年末特点,攻击者刻意强调“12月”、“稽查”、“违规”等关键词,借此使潜在受害者增加紧迫感从而放松警惕。在钓鱼信息之后,攻击者继续发送附带所谓的相关工作文件的钓鱼链接。
2. 文件特征
1)文件名
对于本次发现的新一批变种,犯罪分子继续将木马病毒程序的文件名设置为与财税、金融管理等相关工作具有密切联系的名称,以引诱相关岗位工作人员点击下载运行,如:“开票-目录”、“违规-记录”、“违规-告示”等。此次发现的新变种仍然只针对安装Windows操作系统的传统PC环境,犯罪分子也会在钓鱼信息中使用“请使用电脑版”等话术进行有针对性的诱导提示。
2)文件格式
本次发现的新变种以RAR、ZIP等压缩格式(内含EXE可执行程序)为主,与之前变种不同的是,此次攻击者为压缩包设置了解压密码,并在钓鱼信息中进行提示告知,以逃避社交媒体软件和部分安全软件的检测,使其具有更强的传播能力。
3)文件HASH
34101194d27df8bc823e339d590e18f2
网络安全管理员可通过国家计算机病毒协同分析平台(https://virus.cverc.org.cn)获得相关病毒样本的详细信息,如下:
https://virus.cverc.org.cn/#/entirety/file/searchResult?hash=34101194d27df8bc823e339d590e18f2
3.进程特征
木马病毒被安装运行后,会在操作系统中创建新进程,进程名与文件名相同,并从回联服务器下载其他恶意代码直接在内存中加载执行。
4.网络通信特征
回联地址为:156.***.***.90,端口号为:1217
命令控制服务器(C2)域名为:mm7ja.*****. cn,端口号为:6666
网络安全管理员可根据上述特征配置防火墙策略,对异常通信行为进行拦截。其中与C2地址的通信过程中,攻击者会收集受害主机的操作系统信息、网络配置信息、USB设备信息、屏幕截图、键盘记录、剪切板内容等敏感数据。
5.其他特征
本次发现的新变种还具有主动攻击安全软件的功能,试图通过模拟用户鼠标键盘操作关闭防病毒软件。
三、防范措施
临近年末,国家计算机病毒应急处理中心再次提示广大企事业单位和个人网络用户提高针对各类电信网络诈骗活动的警惕性和防范意识,不要轻易被犯罪分子的钓鱼话术所诱导。结合本次发现的银狐木马病毒新变种传播活动的相关特点,建议广大用户采取以下防范措施:
1.不要轻信微信群、QQ群或其他社交媒体软件中传播的所谓政府机关和公共管理机构发布的通知及相关工作文件和官方程序(或相应下载链接),应通过官方渠道进行核实。
2.带密码的加密压缩包并不代表内容安全,针对类似此次传播的“银狐”木马病毒加密压缩包文件的新特点,用户可将解压后的可疑文件先行上传至国家计算机病毒协同分析平台(https://virus.cverc.org.cn)进行安全性检测,并保持防病毒软件实时监控功能开启,将电脑操作系统和防病毒软件更新到最新版本。
3.一旦发现电脑操作系统的安全功能和防病毒软件在非自主操作情况下被异常关闭,应立即主动切断网络连接,对重要数据进行迁移和备份,并对相关设备进行停用直至通过系统重装或还原、完全的安全检测和安全加固后方可继续使用。
4.一旦发现微信、QQ或其他社交媒体软件发生被盗现象,应向亲友和所在单位同事告知相关情况,并通过相对安全的设备和网络环境修改登录密码,对自己常用的计算机和移动通信设备进行杀毒和安全检查,如反复出现账号被盗情况,应在备份重要数据的前提下,考虑重新安装操作系统和防病毒软件并更新到最新版本。
-
上一篇
-
下一篇
相关推荐
黑龙江饶河再现野生东北虎足迹
四川内江市市中区发生3.2级地震 震源深度10千米
海南将迎来春节前出岛车客高峰 各港口出岛秩序总体平稳
(新春走基层)“喜迎全运会 瑞蛇贺新春”新春庙会在广州举行
羊角把、牛角、十字扣,春运涨知识→小设计大用途
岁暮冰嬉 寒尽春生 这些“速度与激情”谁看了不想玩一把?
“家门口能挣钱,好日子有盼头”(新春走基层)
国家中医药局:九成以上三级妇幼保健院设置中医类临床科室
湖南零陵腊肉飘香年味浓 供销两旺助增收
春节临近 你的家乡举办哪些活动?一起来寻找年味儿→
新春走基层丨让每一盏车灯都安然明亮 他们是“魔鬼风口”的风雪护路人
中国将386.7万家固定污染源纳入排污许可管理
- 最近发表
-
- 随机阅读
-
- 中国首个国家级海上风电研究与试验检测基地传动链平台建成投运
- 文人紫砂走进当代生活 玉成窑文化研究院在浙江宁波成立
- 闽港澳台侨校长圆桌会在福州举行
- 美国建筑师踏足温州28次 促接轨全球新型建筑学科打造
- 首批10万件救灾物资已送达 美团驰援西藏地震灾区第二批20余万件应急物资正连夜发车
- 买卖微信账号“来钱快”?法院认定构成帮信罪
- 超强台风“杜苏芮”来袭 厦门五通客运码头封港
- 并非所有胆结石 都能靠啃猪蹄解决
- 中国企业探索高铁产业链金融新模式
- 山西成立特产中心畅销路、扬文化、塑品牌
- 国家文物局:重点场馆、热门场馆暑期可适当延长开放时间
- 海南陵水依托自然优势大力发展水产南繁种业
- 4名泰国公民在以黎边境遇袭身亡
- 日媒:驻日美军伞降训练常态化 引当地民众不满
- 国际锐评丨从美企到韩企,它们为何被中国动力电池“圈粉”?
- 《2024年北京市住房发展年度计划》发布 计划建设筹集保障性租赁住房7万套(间)
- 新疆兵团持续优化营商环境
- 中国镁行业专家齐聚柴达木 共商镁产业集群高质量发展
- 新华·中国(合肥)苗木价格指数发布 一季度油松苗涨幅居高
- 3月仍有5次冷空气影响,多地或提前入春
- 热门推荐
-
- 安徽省黄山市人民医院原副院长俞胜宝被“双开”
- 架起沟通桥梁,616客户节拉近了国寿寿险与客户之间的距离
- 肿瘤治疗新理念:不仅要活下去,还要活得好
- “祖国在你身后”领事保护情景剧大赛在京启动
- 泽连斯基:将尽全力继续通过黑海出口粮食
- 今年前2个月天津口岸电动汽车出口同比增74.9%
- 广西承接新材料产业转移 签约项目总金额272亿元
- “政府+企业”打造公益市集 民众在“逛”中做慈善
- 江西会昌米粉30载“出海”路:从“一炮而红”到谋新突破
- 塔里木油田气化南疆天然气管道工程启动
- 8月中国物流业扩张态势延续 供需现积极变化
- 厦门将办中国汉服文化节 六组形象推广大使亮相
- 合理布局、有序监管 小摊经济火爆激发消费活力
- 诺和诺德在天津启动无菌制剂扩建项目 投资约40亿元
- “消失的中国游客”,去哪了?
- 国际锐评|“去风险化”?与中国“脱钩”才是风险
- 美议员警告:美国最高法院已陷入“合法性危机”
- “皇冠”归来“含金”几何?第23届工博会观“产业更新”引“新朋老友”
- “十一”假期哈铁增开省内58趟旅客列车
- 俄专家:美军文件泄密事件表明美与盟国产生信任危机